反复看了几遍你的需求应该是这样
基于某些理由不想让end user 直接SSLVPN/L2TP/IPsec连B点的firewall
所以在A点做了IPsec/L2TP 跟B点互通后让end user 走A的防火墙再到B
这问题在一年多前我跟原厂tech support问过类似的他们也是用NAT的方式解决
但当时我是走SSLVPN要到B点的firewall
题外话这问题在台湾挺常见到
我跟老外在做troubleshooting时对方大概都会简单的讲一下理由和需求再讲发生的问题
在台湾就像这篇我的问题是这样要怎么解 另外L2TP该用capital 不要吝啬按个shift
想说12tp?? tp stands for???
大部分的人都是乐于分享，但前提是你提供的资讯要够大家明白你的需求才能帮到
※ 引述《freeunixer (离自相空她相)》之铭言：
: 想请问,
: 两端已经用 forti 建好一个 siteA <-> siteB 的通道,两端 lan 可通没有问题
: 但 fgA 有 l2tp(/ipsec) client 需要经通道进到 fgB 的 lan.
: 已经设定了
: fgA fw rule 允许 l2tp/ipsec 接口(来源)经 sitevpn 接口出去(目的),
: fgB fw rule 允许 fgA 的 VPN client 网段经过 sitevpn 接口进到指定 lan 网段
: 不知还需要设定哪些其它地方?

你认真了XDD不会感谢别人的好意,一昧认为自己对,就让他自己开心好了也许他已经设定好解答,等著看玩笑罢了?一般用s2s通常会认为两边要通,如果不需要通nat也可以啊

这种需求最近WFH开始成为常态以后就变多了

需求讲一半,谁知道他要干嘛?再来干剿别人都是错的?我是觉得nat当有问题就很难到来源,log只会看到nat的ip

你真热心，这种架构都不知做几个客户去了，看他回话的语意，我还是把时间花在其它值得的地方

我翻了翻之前的设定 client - sslvpn - siteA - ipsec -Site B 就只有routing & policy 不用NAT

是因为有同时要连两个 fw 内 lan 的需要

如同前面板友所说，这架构其实早就不知道做几个客户去了除了多站点，还有地端到云端或是反过来都有只有做作过AWS因为VPC的限制，一定要用NAT转pool IP其他多站点的client VPN 加site to site VPN，要嘛是policy base 用policy把要进VPN的流量设好，不然就是route based 用route(大多是static route)设定就好